Yapay zekadan makale özeti
- Kısa
- Ayrıntılı
- Bu video, bir eğitmen tarafından sunulan Elasticsearch ve Shield güvenlik eklentisi hakkında kapsamlı bir eğitim içeriğidir. Eğitmen, izleyicilerin sorularını cevaplayarak interaktif bir şekilde dersi ilerletmektedir.
- Video, Elasticsearch'in temel özellikleri ve Shield plugininin kurulumu ile başlayıp, kimlik doğrulama mekanizmaları, kullanıcı rolleri, yetkilendirme politikaları ve regex kullanımını adım adım anlatmaktadır. Eğitmen, "roles.yml" ve "rules" dosyalarında nasıl roller ve izinler tanımlanacağını örneklerle göstererek, Elasticsearch kümesinde güvenli erişim yapılandırmasını detaylı şekilde açıklamaktadır.
- Eğitim, Shield'in kurulumu, kullanıcı oluşturma, yetkilendirme kuralları, joker karakterlerin kullanımı ve anonim erişim yapılandırması gibi konuları içermektedir. Video, katılımcıların sorularına cevap veren bir soru-cevap bölümüyle sona ermektedir.
- 00:07Elasticsearch ve Shield Plugin Tanıtımı
- Elasticsearch, Apache Lucene üzerine inşa edilmiş bir full-text arama motoru ve veri analiz aracıdır.
- Shield plugin, Elasticsearch'in kimlik doğrulama (authentication) ve yetkilendirme (authorization) bağlamında ihtiyaç duyduğu güvenlik çatısını sağlar.
- Shield plugin, Elasticsearch'in popüleritesi arttıkça ortaya çıkan güvenlik gereksinimini karşılar.
- 01:41Standart Elasticsearch Dağıtımının Güvenlik Açığı
- Standart Elasticsearch dağıtımında herhangi bir kimlik doğrulama ve rol tabanlı erişim mekanizması bulunmaz.
- Tüm client'lar cluster üzerinde sınırsız erişime sahiptir ve herhangi bir kontrol yapılmaz.
- Elasticsearch'in scripting desteği, cluster'a bağlanan her client'ın betik çalıştırabilmesine olanak sağlar.
- 07:46Shield Plugin'in Önemi
- Shield, Elasticsearch cluster üzerinde kullanıcı ve roller bazında kimlik doğrulaması ve yetkilendirme operasyonlarını gerçekleştirebileceğiniz bir güvenlik kalkanıdır.
- Shield plugin, Elasticsearch cluster içerisinde her düğümde yüklü olmalıdır.
- Shield kurulumundan sonra ilgili node'un yeniden başlatılması gerekir.
- 09:01Shield Plugin Kurulumu
- Shield kurulumu öncelikle Elasticsearch lisans paketinin kurulmasıyla başlar.
- Shield kurulumu için "bin/plugin install elasticsearch/shield/latest" komutu kullanılır.
- Shield kurulduktan sonra Elasticsearch server yeniden başlatıldığında güvenlik kalkanı aktif olur.
- 12:47Shield ile Güvenlik Kontrolleri
- Shield kurulduktan sonra Elasticsearch cluster'a erişim için kimlik doğrulaması gerekir.
- Yetkisiz kullanıcılar cluster'a bağlanamaz ve endeksler üzerinde sorgulama yapamaz.
- Shield ile ilk kurulumda otomatik olarak 30 günlük bir deneme lisansı oluşturulur, lisansın sona ermesi durumunda "degraded" modda çalışır.
- 14:35Elastic Search Shield Kurulumu ve Dizin Yapısı
- Kurulmuş Elastic Search dağıtımının plugin dizini altında kurulan eklentiler bulunur.
- Shield ile ilgili lisans eklentisi ve diğer kurulan eklentiler bu dizin altında yer alır.
- Shield'in bin dizin altında yürütülebilir dosyalar ve konfigürasyon dosyaları bulunur.
- 17:11Shield Güvenlik Mekanizması
- Shield ile Elastic Search'e erişim için otantikasyon gereklidir ve yetkilendirme süzgecinden geçilmezse erişim sağlanamaz.
- Shield farklı kimlik doğrulama mekanizmaları (realms) destekler: s_users (yerleşik kimlik doğrulama), LDAP, Active Directory ve açık anahtar altyapısı.
- Shield varsayılan olarak s_users kimlik doğrulama mekanizmasını kullanır.
- 20:14Kullanıcı Tanımlama ve Yetkilendirme
- Yeni bir kullanıcı tanımlamak için bin dizin altındaki komut kullanılır ve kullanıcıya bir rol atanır.
- Kullanıcıları listelemek için "list" parametresi kullanılabilir.
- Shield ile kimlik bilgileri düz metin olarak değil, şifreleme kütüphanesi kullanılarak güvenli bir şekilde depolanır.
- 25:41Eylem Yetkilendirmesi ve Güvenli Nesneler
- Shield, rol tabanlı erişim denetimi ile kullanıcıların yapabileceği eylemleri kısıtlar.
- Ayrıcalıklar (previlegeler) sorgu çalıştırma, endeks oluşturma/silme gibi eylemleri içerir.
- Güvenli nesneler iki tipi vardır: küme ve kümenin barındırdığı endeksler.
- 28:51Elastik Search Güvenliği ve Roller
- Elastik Search'te izinler temelde veriye erişim ve idari işlemlerle ilgilidir.
- Tanımlanmış roller, izinlerin adlandırılmış bir kümesidir; örneğin "admin" rolü, belirli bir kullanıcıya atanan izinler kümesini ifade eder.
- Elastik Search admini olarak öncelikle kullanıcılar için roller tanımlamak ve ardından bu rolleri kullanıcılarla ilişkilendirmek gerekir.
- 30:15Rol ve İzin Kavramları
- Rol, izin ve ayrıcalıklar kümesi olarak adlandırılır ve bu izinlere erişim için kullanılan benzersiz bir anahtardır.
- İzin, bir veya daha fazla güvenli nesne ile ilişkili ayrıcalıklar kümesidir.
- Roller Elastik Search'te shield.yml dosyasında tanımlanır.
- 32:06Shield.yml Dosyası ve Örnek Roller
- Shield.yml dosyası YAML formatında bir rol tanım dosyasıdır ve shield için roller burada tanımlanır.
- Her giriş eşsiz bir rol adı, bu rolün etkin olduğu kümeyi ve küme ile ilişkili endekslere dair izinleri tanımlar.
- Örneğin "admin" rolü cluster üzerinde tüm yetkilere ve tüm endekslere erişim izni verir.
- 33:46Farklı Roller ve Yetkiler
- "Power user" rolü cluster üzerinde sadece monitör yetkisine sahiptir, settings işlemi gerçekleştiremez.
- "User" rolü cluster üzerinde hiç yetkisi yoktur ancak endeksler üzerinde read (okuma) izni vardır.
- Shield, default olarak 5 saniyede bir shield.yml dosyasını okur ve var olan değişiklikleri hayata geçirir.
- 34:51Rol Örneği ve Yetki Testi
- Hakan kullanıcısı "power user" rolüne atanmıştır.
- Hakan kullanıcısı cluster settings ayarlarına müdahale etmeye çalıştığında authorization exception hatası alır.
- Hak Doğan (admin) kullanıcısı aynı işlemi gerçekleştirebilir çünkü admin yetkisine sahiptir.
- 43:49İzin Türleri ve Detayları
- "All" izni klasör üzerinde tüm admin operasyonlarına izin verir.
- "Monitor" izni sadece cluster üzerinde operasyonlara izin verir, verileri gözlemlemek için kullanılır.
- "Manage" izni belirli endeksler üzerinde okuma, yazma veya silme gibi operasyonlara izin verebilir.
- 46:22Joker Karakterler ve Regex
- Joker karakterlerde yıldız (*) herhangi bir sayıda karakteri temsil eder, örneğin "koççuk*" ifadesi "koççuk" ile başlayan tüm ifadeleri eşleştirir.
- Soru işareti (?) tek bir karakteri temsil eder, örneğin "201?" ifadesi "2010" ile "2019" arasındaki herhangi bir yılı eşleştirir.
- Regex ifadeleri slash (/) karakteriyle başlamalı ve bitmelidir, aksi takdirde hatalı biçimlendirme (malformed) olarak kabul edilir.
- 50:29Rules Dosyası ve Yetki Yapılandırması
- Rules dosyası küme tarafından global olarak değil, düğüm tarafından yerel olarak yönetilir ve bu nedenle düğümler arasında manuel olarak replike edilmelidir.
- Tanımlanan kullanıcılar (örneğin "hakan" ve "doğan") sadece tanımlanan düğümle sınırlıdır, başka düğümlerde eklenmedikçe aktif olamazlar.
- Rules dosyası söz dizimlerini destekler, örneğin "koççu" ifadesi ile başlayan endekslere erişim yetkisi verebilir.
- 51:55Anonim Erişim Yapılandırması
- Elasticsearch'te anonim erişim yapılandırılabilir, bunun için Elasticsearch konfigürasyon dosyasında değişiklik yapılması gerekir.
- Anonim kullanıcı için "roles" parametresi zorunludur ve kullanıcıya atanacak rolleri belirtir.
- "auth_exception" parametresi, yetkisiz eylemler için HTTP 403 yanıtı verip vermemeyi kontrol eder ve varsayılan olarak true'dur.
- "auth_exception" false olarak ayarlandığında, web tarayıcısından yapılan isteklerde kimlik bilgileri talep penceresi (basic authentication) görüntülenmez.
- 1:03:48Soru Cevap Oturumu
- Eğitmen, katılımcılardan soru sormalarını istiyor.
- Hakan, "tab" yerine "space" kullanmanın daha iyi olabileceğini belirtiyor.
- Eğitmen, dosya formatını ve inceliklerini bilmek gerektiğini vurguluyor.
- 1:05:33Oturumun Sonlanması
- Eğitmen, katılımcılardan soru sormalarını tekrar istiyor.
- Soru olmadığı anlaşılıp, eğitmen oturumu sonlandırıyor.
- Eğitmen, Ramazan Bayramı'na kadar farklı bir etkinlikte bir araya gelme ihtimalini belirtiyor.
- Eğitmen, katılımcılara bayram tebrikleri ile vedalaşıyor.